Wer dachte, mit der Verabschiedung im Parlament sei der Weg für das Inkrafttreten des revidierten Datenschutzgesetzes endlich geebnet, sieht sich getäuscht. Der Ende Juni nach langem Anlauf in die Vernehmlassung gegebene Vorentwurf für die Datenschutzverordnung (VDSG) schiesst derart weit übers Ziel hinaus, dass die Kritik in der Vernehmlassung gross sein wird. Der Weg bis zu einem Inkrafttreten scheint lang wie je. Kaum jemand glaubt noch an ein Inkrafttreten vor Anfang 2023.
Es ist ein Déjà-vu: ein praxisferner Regulierungsentwurf, der bei Unternehmen auf breite Ablehnung stösst. Man kommt sich ein bisschen vor wie Bill Murray, der im Film „Täglich grüsst das Murmeltier“ denselben Tag immer wieder von Neuem erlebt. Der Zeitschleife entkommt er im Film schliesslich, indem er sich in Demut übt und Gutes tut. Auch dem Bundesrat (bzw. dem zuständigen Bundesamt für Justiz) möchte man zurufen, sich bei der Überarbeitung des Verordnungsentwurfs auf alte Tugenden zu besinnen:
- Zurückhaltung und Gesetzestreue: Die Datenschutzverordnung sollte nur jene Punkte regeln, für die das revidierte Datenschutzgesetz effektiv Ausführungsvorschriften auf Verordnungsstufe vorsieht: Bei den Mindestanforderungen an die Datensicherheit, bei der Pflicht zur Führung eines Verarbeitungsverzeichnisses, bei den Modalitäten des Auskunftsrechts sowie bei einzelnen weiteren Punkten (wovon viele aber nur Datenbearbeitungen durch Bundesorgane betreffen). Wenn der Vorentwurf z.B. plötzlich eine Informationspflicht des Auftragbearbeiters statuieren will (Art. 13 VE-VDSG), so hat dies schlicht keine Grundlage im Gesetz.
- Realitätssinn: Die Verordnung sollte von Unternehmen nur verlangen, was diese realistischerweise erfüllen können. Und zwar nicht nur die grossen finanzstarken Konzerne, sondern auch die vielen mittelständischen Unternehmen. Die vorgeschlagenen Vorschriften zur Datensicherheit (Art. 2 VE-VDSG) sind z.B. keine Mindestanforderungen, wie es Art. 8 Abs. 3 revDSG eigentlich verlangt. Es ist vielmehr ein breit gefächerter Strauss ambitionierter Schutzziele, die „erreicht“ werden sollen. Was ja noch einigermassen ginge, wenn ihre Verletzung nicht mit Strafe bedroht wäre. Ist sie aber. Das zeugt von wenig Bewusstsein, wie schwierig es angesichts der heutigen Cyberrisiken ist, alle diese Schutzziele stets zu erfüllen. Hier würde sich ein Blick in die DSGVO lohnen: Art. 32 DSGVO enthält vernünftige Regelungen zur Datensicherheit, die fast tel quel übernommen werden könnten.
- Mut zum Loslassen: Regelungen der heutigen Verordnung brauchen nicht fortgeschrieben zu werden, wenn sie überholt sind: Zum Beispiel das Bearbeitungsreglement (Art. 4 VE-VDSG). Das revidierte Datenschutzgesetz übernimmt sämtliche der umfangreichen Dokumentationspflichten der DSGVO – vom Verarbeitungsverzeichnis bis zur Datenschutz-Folgenabschätzung. Von Schweizer Unternehmen zusätzlich irgendwelche helvetische Reglemente zu verlangen, ist unsinnig. Unternehmen in der Schweiz sollten nicht mehr Dokumentationen führen müssen als Unternehmen im EWR. Zeit, Schweizer Eigenheiten loszulassen.
Der Verordnungsentwurf schnürt ein Regulierungspaket, das an vielen Stellen noch über die Anforderungen der DSGVO hinausgeht. Er ignoriert, dass es die erklärte Absicht des Gesetzgebers war, solche „Swiss Finishes“ zu vermeiden. Und schaut grosszügig darüber hinweg, dass die Bestimmungen der Verordnung eigentlich einer gesetzlichen Grundlage bedürfen. Dies gilt es nun zu korrigieren. Der Verordnungsentwurf ist eine verpasste Chance. Er ist zugleich aber auch eine Chance, es im zweiten Anlauf besser zu machen.
Matthias Glatthaar ist Leiter Datenschutz und Datenschutzbeauftragter im Migros-Genossenschafts-Bund. Er gibt seine persönliche Meinung wieder.